Je zit aan je bureau, klaar om je dag te beginnen. Voordat u zelfs maar uw eerste e-mail kunt openen, heeft u al drie verschillende wachtwoorden getypt, elk complexer dan de vorige. Tegen lunchtijd zul je het ritueel een half dozijn keer hebben herhaald. Het is frustrerend, het gaat langzaam en het overkomt dagelijks miljoenen werknemers.
Dit is het wachtwoordvermoeidheid-de stilte productiviteit moordenaars en verborgen veiligheidsrisico’s waar moderne bedrijven last van hebben. Het is meer dan een ergernis; het is een kostbare kwetsbaarheid. Uit ons wereldwijde onderzoek is gebleken dat de meerderheid van de gebruikers nog steeds vertrouwt op wachtwoorden als hun primaire authenticatiemethode. Dit zou de meeste organisaties zorgen moeten baren, want in een tijdperk dat wordt bepaald door beleid waar je overal kunt werken, apps en mobiele apparaten, vertrouwen bedrijven nog steeds op een verdediging die sinds de jaren zestig niet noemenswaardig is geëvolueerd.
Complexiteit zonder veiligheid
Als het gaat om de complexiteit van wachtwoorden, zijn organisaties verdoemd als ze dat doen, en verdoemd als ze dat niet doen. Of ze laten de complexiteit helemaal varen: kijk Louvredat ‘Louvre’ als wachtwoord gebruikte om zijn bewakingssysteem te beschermen, of steeds complexere reeksen van gemengde hoofdletters, cijfers, symbolen, frequente wijzigingen en multi-factor authenticatie (MFA) vereiste.
Hoewel bedoeld om de beveiliging te versterken, kunnen complexe wachtwoordvereisten gemakkelijk het tegenovergestelde effect hebben. Hoe vaak is iemand dagenlang buitengesloten van zijn systeem omdat hij zijn herstelreactie is vergeten of de telefoon is kwijtgeraakt die de authenticatielink verzendt die nodig is om toegang te verlenen? En in hoeveel gevallen heeft die persoon besloten om die goedgekeurde tools achterwege te laten en gevoelige gegevens te uploaden naar een persoonlijke Google Drive – gemakkelijker toegankelijk voor hen en hun collega’s, maar ook gemakkelijker voor cybercriminelen om te misbruiken?
De tragedie is dat extra complexiteit de veiligheid niet garandeert. Cybercriminelen hebben zich al lang aangepast aan de vooruitgang op het gebied van wachtwoorden door middel van credential stuffing en brute force-aanvallen. Maar de meest effectieve techniek die ze gebruiken, richt zich op de zwakste schakel in de wachtwoordketen; niet het wachtwoord zelf, maar de persoon die het heeft gemaakt.
Waarom urenlang proberen een slot te kraken als de eigenaar je onbewust de combinatie overhandigt? Er zijn gevallen geweest van het aanmaken van bestanden door cybercriminelen identieke inlogpagina’s om wachtwoorden te verzamelen. De enorme datalekken die toesloegen MGM-resorts EN Clorox ze waren het resultaat van cybercriminelen die zich voordeden als legitieme gebruikers en de IT-helpdesk vroegen om hun wachtwoord en MFA opnieuw in te stellen. Deze bedreigingsactoren hebben niet ingebroken, maar ingelogd.
De opkomst van NAAR DE maakte het wachtwoordprobleem nog urgenter. Cybercriminelen nu maakt gebruik van kunstmatige intelligentie om wachtwoorden te radencreëert onberispelijke phishing-e-mails en genereert zelfs deepfake-vermeldingen om helpdeskpersoneel voor de gek te houden. Traditionele wachtwoorden kunnen deze nieuwe generatie aanvallen eenvoudigweg niet weerstaan.
Volgens de RSA ID QI-rapport 202669% van de organisaties heeft de afgelopen drie jaar een identiteitsgerelateerde inbreuk gemeld, een stijging van 27 procentpunten ten opzichte van het onderzoek van vorig jaar. Dit zijn geen abstracte statistieken: ze vertegenwoordigen echte financiële verliezen, operationele verstoringen en reputatieschade. En in veel gevallen hadden ze voorkomen kunnen worden.
Maar hoe? Werknemers worden belast met steeds onbeheersbaardere toegangsrituelen, maar organisaties blijven blootgesteld aan de inbreuken die deze maatregelen juist moesten voorkomen. Dus wat is het antwoord?
De wachtwoordvrije oplossing
De meest haalbare uitweg uit deze cyclus is authenticatie zonder wachtwoord. Als er geen wachtwoord meer te stelen is, verminderen organisaties de risico’s aanzienlijk en vereenvoudigen ze het inlogproces door de noodzaak weg te nemen om voortdurend een wachtwoordreeks te onthouden, bij te werken of opnieuw in te voeren.
Wachtwoorden zijn doorgaans afhankelijk van ‘iets dat u weet’ waartoe gebruikers toegang hebben. Wachtwoordloze authenticatie vervangt het typen van een wachtwoord door twee of meer andere factoren, waaronder ‘iets dat je hebt’, zoals een mobiele telefoon of een hardwaretoken, of ‘iets dat je bent’, zoals een gezichts- of vingerafdrukscan.
Meestal manifesteert het gebruik van deze factoren zich op drie manieren, elk met zijn eigen afwegingen:
Authenticatie-app en pushmeldingen:
- Dingen: In plaats van een wachtwoord te typen, voert de gebruiker zijn gebruikersnaam in en ontvangt hij een beveiligde melding op een vertrouwde mobiele app waarin hem wordt gevraagd zijn login te verifiëren, vaak door een nummer te matchen.
- Pluspunten: Zeer populair in zakelijke omgevingen; het is gebaseerd op de smartphone die de gebruiker al bij zich heeft.
- Tegen: Vereist dat de gebruiker een smartphone heeft met toegang tot gegevens; iets langzamer dan directe biometrie; gevoelig voor phishing en andere aanvallen.
Magische koppelingen:
- Dingen: Vergelijkbaar met de ‘wachtwoord vergeten’-link die Instagram of Slack je kunnen sturen, stuurt het systeem een unieke link per e-mail of stuurt een code via sms om in te loggen.
- Pluspunten: Er is geen hardware of configuratie vereist; werkt op elk apparaat met toegang tot e-mail.
- Tegen: Hoewel het ‘wachtwoordloos’ is, is dit niet echt ‘wachtwoordloos’ in de zin van beveiliging. Het is afhankelijk van de veiligheid van de e-mailinbox (die vaak alleen wordt beschermd door een zwak wachtwoord) en is nog steeds kwetsbaar voor phishing en onderschepping.
Platformbiometrie (Face ID, Touch ID, Windows Hello):
- Dingen: De gebruiker verifieert zijn identiteit met behulp van vingerafdrukscans of gezichtsherkenning die rechtstreeks in zijn laptop of smartphone is ingebouwd.
- Pluspunten: Dit biedt maximaal gemak en snelheid; gebruikers zijn al getraind om hun telefoons op deze manier te ontgrendelen.
Tegen: Koppel de inloggegevens aan een specifiek apparaat. Als het apparaat kwijtraakt of kapot gaat, moeten de mechanismen voor accountherstel robuust zijn.
Waar u op moet letten bij een wachtwoordloze oplossing op bedrijfsniveau
Als u wachtwoordloze opties voor uw bedrijf overweegt, stel uzelf dan deze twee vragen:
1. Is het compleet? Als uw oplossing slechts voor één omgeving of groep gebruikers werkt, moet u aanvullende oplossingen toevoegen om alles en iedereen te dekken. Een oplossing kan bijvoorbeeld naadloze biometrische toegang bieden voor moderne cloud-apps zoals Office 365, maar volledig mislukken met oudere mainframes of lokale VPN’s, waardoor gebruikers gedwongen worden hun toevlucht te nemen tot wachtwoorden voor kritieke interne systemen.. Uw oplossing moet werken op elk platform, implementatiemodel en omgeving: cloud, on-premise, edge, legacy, Microsoft en macOS.
2. Is het echt veilig? Weerstand tegen phishing is een belangrijke trend in wachtwoordloze oplossingen en is een cruciaal kenmerk bij het elimineren van een van de meest voorkomende en impactvolle aanvalsvectoren. Maar weerstand tegen phishing is niet genoeg: organisaties moeten ook bestand zijn tegen bypass, malware, fraude en disruptie. Als een cybercrimineel wachtwoordloze MFA kan omzeilen door de IT-helpdesk ervan te overtuigen hem binnen te laten, dan is de wachtwoordloze methode zelf niet veel waard.
Maak de overstap
De verschuiving naar een ander paradigma gebeurt niet van de ene op de andere dag, maar het resultaat is onmiddellijk zichtbaar. Begin met de meest kritische applicaties of gebruikers met het hoogste risico en kies apparaatgebonden toegangssleutels boven gesynchroniseerde alternatieven waarmee sleutels tussen apparaten kunnen worden verplaatst voor extra beveiliging.
Bouw rigoureuze inschrijvingsprocessen op met identiteitsverificatie en liveness-detectie, die valideren dat de biometrische bron een levend persoon is. Beveilig bovendien uw helpdesk met dubbelzijdige verificatie: dit proces bevestigt de identiteit van de beller via een apparaatbericht en bewijst de legitimiteit van de agent door de geverifieerde status op het scherm van de beller weer te geven.
Plan voor veilig herstel in het geval van apparaatverlies door het opzetten van veilige fallback-oplossingen, zoals vooraf geregistreerde back-upsleutels of biometrische herverificatie, in plaats van wachtwoorden. Zoek naar oplossingen die automatisch apparaatgebonden toegangscodes verstrekken wanneer gebruikers de app registreren. Meet ten slotte het aantal wachtwoordloze authenticaties in de loop van de tijd ten opzichte van eventuele vermoedelijke accountcompromissen om er zeker van te zijn dat uw acties een positieve impact hebben.
Door het dagelijkse gedoe met wachtwoorden te elimineren en een van de grootste deuren voor cybercriminelen te sluiten, kunnen bedrijven eindelijk hun productiviteit en gemoedsrust herwinnen.
